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© Procedd de conduite d'une transaction entre une carte a puce et un systeme d'information 



© Pour resoudre un probleme de transaction a 
realiser entre deux cartes a puce reliees ensem- 
ble a un lecteur, on prevoit que les transactions 
soient enregistrees provisoirement, en memoire 
non volatile de ces cartes a puce, et que ces 
cartes a puce emettent a destination du lecteur 
un message disant que la preparation de la 
transaction a ete achevee. Le lecteur, recevant 
des messages en provenance ces deux cartes a 
puce, 6met a destination de ces deux cartes a 
puce, apres verification, un autre message leur 
signafant qu'elle peuvent rendre definitif le 
caractere provisoire de la transaction. On mon- 
tre qu'en agissant de cette facon, on rend la 
transaction parfaite entre les deux intervenants 
sans risque de fraud e et ou de pannes. 
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La presente invention a pourobj t un precede d 
conduite d'une transaction ntre une carte a puce t 
un systeme d'information, notamment une base de 
donnees. Elle est notamment destinee a etre utilisee 
avec des cartes a puces du type porte-monnaie elec- s 
tronique. Avec de telles cartes, il est prevu que des 
unites representatives de sommes d'argent soient 
transferees d'une carte a puce a une autre, ou d'une 
carte a puce a un compte memorise dans une base 
de donnees, ou I'inverse. Dans te premier cas, en pra- 10 
tique, la deuxieme carte a puce joue un r6le de sys- 
teme d'information, parexemple de base de donnees 
pour memoriser des n ombres d'unites. Au lieu de 
transferer des unites representatives d'echange de 
monnaies, on peut aussi prevoir que des informations 15 
seront 6changees: une reservation etant parexemple 
enregistree dans une carte a puce alors que I'indis- 
ponibilite correspondante du service reserve est no- 
tee dans fa base de donnees. Le precede peut aussi 
etre utilise avec des cartes a puces de type sante ou 20 
meme des cartes a puce de type PCMCIA connues 
par ailleurs pour servir de memoire. 

Ce type de transaction presente des problemes 
evidents. Ces problemes sont lies au fait que le credit 
d'unites, ou la reservation, et d'une maniere plus ge- 25 
nerale les informations, peuvent etre portes dans un 
support, par exemple une carte a puce, avant d'etre 
debite dans I'autre, par exemple la base de donnees, 
ou une autre carte a puce. II importe done d'assurer 
la coherence de la transaction et de faire e n sorte que 30 
f'on ne puisse pas se retrouver dans une situation 
permettant les incoherences. 

Dans une premiere tentative de solution on a ima- 
gine de rendre les cartes a puces destinataires de la 
transaction prisonnieres d'un mecanisme qui empe- 35 
che leur retrait physique de I'organe de gestion de fa 
transaction avant que la transaction ne soit terminee. 
Ce type de mecanisme n'est cependant pas utilisable 
d'une maniere g6nerale, notamment si, pour des be- 
soins de commodite et de diffusion de ('utilisation des 40 
cartes a puces, on prevoit de mettre en service des 
lecteurs aptes a faire le transfert d'une carte a une au- 
tre et disponibles par ailleurs en libre service en de 
nombreux endroits. Le fait de pouvoir retirer la carte 
a tous moments, ou bien les deux cartes partenaires 45 
a la transaction, implique qu'on choisisse une autre 
solution. En outre il convient, au dela de toutcontexte 
de fraude, de prevoir les cas de pannes dans une car- 
te a puce ou dans la base de donnees. 

Le pro bl erne se presente egalement si, au lieu so 
d'echange d'unites, on prevoit par exemple d'effec- 
tuerdes reservations: une reservation etant enregis- 
tree dans une carte a puce, alors que la prise de la 
reservation est egalement enregistree dans la base 
de donnee au nom du titulaire de la carte a puce. On 55 
peut par ailleurs imaginer d'autres situations ou les 
echanges d'information doivent etre coherents. 

Pourresoudr c problem , dans I'invention on a 



eu I'idee de faire a pp I a un protocol particulier d* n- 
registrement. Dans I'inv ntion, dans un premier 
temps on enregistre provisoirement Pinformation fi- 
nale, ou le nouvel etat des unites (celui qu'etles de- 
vraient avoir a Tissue de la transaction), en memoire 
non volatile. On garde d'autre part en memoire non 
volatile ces informations ou unites dans leur etat ini- 
tial, avant la transaction. Ensuite, on envoie a un or- 
gane qui gere la transaction un message indiquant 
que ce type de preparation a ete mene a terme. L'or- 
gane de gestion de la transaction verif ie ensuite qu'il 
recoit un message du m6me type de tous les parte- 
naires a la transaction (en general il n'y en a que deux 
mais il pourrait y en avoir plusieurs) et transmet, si la 
transaction s'est passee correctement, aux d if fe- 
re nts partenaires un deuxieme message leur signa- 
lant que le caractere provisoire d'enregistrement de la 
transaction peut etre abandonne au prof it d'un carac- 
tere def initif. Dans ces conditions la carte a puce por- 
te dans sa memoire non volatile une indication mon- 
trant que le caractere provisoire peut §tre abandon- 
ne. On montrera que ce type de protocole permet de 
resister a toutes les tentatives de f raudes et a toutes 
les pannes qui peuvent survenir au cours de la reali- 
sation de la transaction. 

L'inve ntion a done pour objet un precede de 
conduite de transaction entre une carte a puce, no- 
tamment de type porte monnaie electronique, et un 
systeme d'information, notamment une base de don- 
nees, mis en relation entre eux par I'intermediaire 
d'un lecteur de carte a puce relie au systeme, carac- 
terise en ce qu'il com porte les eta pes suivantes, une 
fois que la carte a puce est en relation avec le syste- 
me: 

- une action de mise a jour, de debit ou de credit, 
d'information est effectuee dans la puce de la 
carte, 

- et une action de mise a jour, de credit ou de de- 
bit, d'information correspondante est effectuee 
dans le systeme, 

- la carte a puce et le systeme envoient chacun 
a un organe de gestion de la transaction un 
premier message indiquant que les mises a 
jour, debits et credits, correspondantes ont ete 
effectuees provisoirement par la carte a puce 
et le systeme, 

- I'organe de gestion de la transaction verif ie la 
coherence de ces premiers messages et en- 
voie des deuxiemes messages a la carte a 
puce et ou au systeme pour leur indiquer que 
la transaction projetee est equilibree entre 
eux, 

- la puce de la carte a puce n'est autorisee a 
fonctionnerque lorsqu'elle a recu et enregistre 
le deuxieme message. 

En variante, la carte a puce t la base de donnee 
enregistrent le caractere def initif de la transaction et 
envoient un troisieme message a I'organe d gestion 
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pour signaler la rec ption du d uxiem message, 

- la puce de la cart a puce n'est alors autori- 
see a utiliser les informations recues que lorsqu'elle 
a emis correctement le troisieme message. 

L'invention sera mieux comprise a la lecture de la 
description qui suit et a I'examen des figures qui Tac- 
compagnent, celles-ci ne sont donnees qu'a titre in- 
dicatif et nullement limitatif de ('invention. Les figures 
montrent: 

- figure 1: une representation schematique d'un 
systeme utilisable pour mettre en oeuvre l'in- 
vention; 

- figures 2a a 2c: des organigrammes d'actions 
a entreprendre, seton l'invention, d'une part 
dans une carte a puce, d' autre part dans un or- 
gane de gestion de la transaction et troisieme- 
ment dans une base de donnees (qui peut par 
ailleurs etre aussi une carte a puce); 

- figure 3: ia representation schematique des ty- 
pes des deuxiemes messages a emettre par 
I'organe de gestion de la transaction en repon- 
se aux premiers messages recus; 

- figures 4a a 4d: des exemples preferes d 'infor- 
mations et/ou de messages echanges entre 
les differents parte n aires a la transaction. 

La figure 1 montre un systeme utilisable pour 
mettre en oeuvre le proced6 de conduite de transac- 
tion selon Tinvention. Ce systeme comporte une carte 
a puce: la carte a puce A. La carte a puce A est no- 
tamment du type porte-monnaie electron ique et 
contient dans une memoire MA, par exemple a une 
adresse a, un nombre X d 'unite stockees. Les unites 
stockees a I'adresse a le sont sous la forme de don- 
nees representatives de ces unites, cependant ces 
unites pounraient etre egalement enregistrees sous la 
forme de cellules memoires obliterables, de type fu- 
sible, lorsqu'elles sont consommees. Dans ce cas, la 
mise a jour, ('incrementation du contenu d'unite, 
pour rait etre realise en autorisant I'acces a de nouvel- 
les cellules memoires obliterables ou eventuellement 
en enlevant ('obliteration de cellules memoire deja 
obliterees. Les donnees stockees a I'adresse a peu- 
vent aussi etre des donnees de reservation d'un ser- 
vice ou d'un droit. Elles peuvent encore etre des don- 
nees d'information pure. Dans ce cas, la transaction 
pourrait avoir pour but de certifier que le titulaire de 
la carte A a recu ces informations. 

La carte a puce peut dtre mise en relation avec 
une base de donnee, representee ici a titre d'exemple 
par une autre carte a puce B, du meme type que la 
precedente. La liaison avec la base de donnees, ou 
plus general erne nt le systeme d'information, s'effec- 
tue par rintermediaire d'un lecteur de carte a puce L 
qui, dans I' exemple, comporte un ensemble de bou- 
tons de commande BC ainsi qu'un ecran de controle 
EC pour visualiser en temps reel revolution de la tran- 
saction ou pour qu'un operateur puisse satisfaire aux 
requeues qui lui sont faites pour mener a bien les dif- 
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ferents protocoles d reconnaissance et devolution 
de la transaction. 

Ainsi dans un premier temps, la carte a puce A en- 
tre en relation avec le systeme, la base de donnees 

s representee par la carte B, par rintermediaire du lec- 
teur L. Ce type d'entr6e en relation est connu. Par 
exemple, un operateur introduit la carte a puce Adans 
le lecteur L. Pour qu'elle soit reconnue, cet operateur 
doit composer avec les boutons BC un mot de passe 

10 (que lui seul connatf) a r invite d'un message appa- 
raissant dans I'ecran EC. Lorsque ce protocole de re- 
connaissance est termine, I'operateur ou un autre 
operateur effectue un m6me type d'actions en tntro- 
duisant la carte B. En variante, le lecteur est en rela- 

15 tion directe avec la base de donnees (ou en relation 
differee par branchement le soir ou la nuit par exem- 
ple). Dans ce cas le lecteur L lui meme contient la 
base de donnees, au moins sous une forme provisoi- 
re. 

20 Dans le cas le plus complexe ou la base de don- 

nees est egalement une carte B, les lecteurs selon 
l'invention utilisables dans le commerce comporte- 
rontdeuxfentes d' introduction telles que F, sans volet 
anti-arrachement. lis permettront naturellement de 

25 retirer les cartes A ou B a tous moments, meme si la 
reconnaissance ou la transaction sont encore en 
cours. En pratique, le procede de Tinvention evitera 
tous les problemes qui pounraient en resulter. En ef- 
fet, il est illusoire de prevoir des lecteurs avec des me- 

30 canismes emp&chant ce retrait: eel a les rend rait plus 
compliques, plus chers, et cela sera it par ailleurs 
completement inoperant vis-a-vis des velleit6s de 
fraude emanant des fraudeurs. 

D'une maniere preferee, le lecteur L comporte 

35 une memoire ML dans laquelle seront enregistrees 
les differentes transactions effectuees par rinterme- 
diaire de ce lecteur L. 

Les figures 2a a 2b montrent les differentes ope- 
rations effectuees pour mettre en oeuvre le procede 

40 de Tinvention. Par exemple, figure 2b, une fois que 
les cartes A et B ont ete reconnues, un operateur pre- 
voit, a Taide des boutons de commande BC, la reali- 
sation d'une transaction. II decide par exemple de 
transferer une quantite D d'unites de la carte B a la 

45 carte A. En definitive on imagine que de cette facon 
on va augmenter le credit d'unite de la carte A en de- 
bitant ce qui etait contenu dans la carte B: on effectue 
ainsi un paiement. On peut par ailleurs dans le meme 
ordre d'idee effectuer une reservation, la reservation 

50 devant etre ecrite dans la carte A, la carte B (ou la 
base de donnees equivalence) enregistrant le fait que 
la reservation a ete faite au nom de A. 

Cette transaction comporte done essentielle- 
ment Tenvoi de Tinfonmation D, sur laquelle porte la 

55 transaction, a la fois a la carte A et a la fois a la carte 
B.Onv rra par la suite qu cette information stplus 
complet maispourT ssenti I lie doit comporter une 
information D: D representant par exemple un certain 
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nombre d 'unites. 

Lorsqu la carte A recoit I'information D, figure 
2a f elle Tenregistre en memoire non volatile. Par 
exemple alors que la carte Apossedait a une adresse 
a de sa memoire MA, figure 1, un nombre X d'unites 
enregistrees, elle va maintenant enregistrer a une 
adresse b un nombre d 'unites X+D. Ce faisant, ia car- 
te A selon la deuxieme phase du procede de I' inven- 
tion va preparer puis envoyerau lecteur L, un premier 
message indiquant que les debits (ou credits) corres- 
pondants ont ete effectues provisoirement par la car- 
te a puce A. Pour ce faire la carte a puce A va d'une 
part inscrire dans une memoire de transaction MT 
(qui peut physiquement etre la meme que la memoire 
MA qui contient les unites ou qui peut etre une autre 
memoire du circuit integre, la puce, de la carte a puce) 
une indication relative au stockage provisoire des 
donnees en memoire MA. 

La memoire MT a la particularity d'etre non vola- 
tile. Vindication correspond a un premier message 
mentionnant essentiellement le caractere provisoire 
de I'enregistrement de la transaction. Par exemple 
dans la memoire de transaction MT on enregistre, 
dans une ligne d'enregistrement correspondant a la 
transaction en cours: dans une premiere zone Z1, 
l'adresse a mentionnant l'adresse de depart des infor- 
mations, et dans une deuxieme zone Z2 l'adresse b 
renseignant sur l'adresse finale a Tissue de la tran- 
saction. Ceci 6tant effectue, la carte a puce A emet 
d 'autre part en direction du lecteur L un message par 
lequel elle dit de preference que d'une part on a en- 
registre les unites X+D a l'adresse b ( et que d'autre 
part I'index provisoire comporte en zones Z1 Z2 Tin- 
formation ab. Ceci en substance veut dire que la tran- 
saction s'est provisoirement bien effectuee. 

La nature du premier message peut Stre tres 
simple, menrie codee sur un seul bit pour dire que la 
partie provisoire du procede s'est bien passed Ce pre- 
mier message peut de preference 6tre plus complexe, 
par exemple comporterles information d'adresse a et 
b. II peut meme etre chiffre ou signe. 

Le lecteur L recoit alors ce premier message en 
provenance de la carte A, figure 2b. II verifie egale- 
ment qu'il recoit un message correspondant en pro- 
venance de la carte B. Celle-ci a bien entendu enre- 
gistre la transaction en sens inverse, son contenu 
d'unites, au prealable valant Y, a ete porte provisoire- 
ment a une valeur Y-D. Lorsque Torgane de gestion 
de la transaction, de preference contenu dans le lec- 
teur L, constate que les informations transmises sont 
coherentes il emet un deuxieme message en direc- 
tion de la carte A et de la carte B. Le but de ce deuxie- 
me message est de rendre definitive la transaction 
provisoire qui etait prealablement enregistree. 

La carte A et la carte B recoivent alors le deuxie- 
me m ssag , figures 2a et 2c. Elles enr gistrent en- 
suit un index def initif en memoire non volatil MT 
mentionnant I caractere def initif de la transaction. 



Par xempl dans une troisieme zon Z3 d la me- 
moir MT, la carte A nr gistre l'adresse b en cas de 
succes, ou l'adresse a en cas d'echec. Ceci veut dire 
que ('information a utillser est maintenant Tinforma- 

5 tion a prelever a l'adresse b, ou a, mentionnee en Z3. 
On voit immediatement que, si la transaction avalt 
echoue, et ou si le contenu du deuxieme message 
avait ete un message d'echec, la carte A aura it dans 
la zone Z3 soit une information absente soit I'informa- 

10 tion a: ceci aurait signif ie que l'adresse de la valeur 
definitive a Tissue de la transaction aurait ete l'adres- 
se a: celle qui etait en cours avant le debut de la tran- 
saction. On peut ainsi retenir qu'en cas d'absence 
d'adresse ou d'information en zone Z3, l'adresse ou 

15 I'information de la zone Z1 prime. Par exemple, figure 
1, memoire MT, au dessus de I'enregistrement relatif 
a la transaction en cours, on a montre egalement en 
zone Z3, pour une transaction precede nte, que ('infor- 
mation valable etait stockee a l'adresse a. 

20 Le programme mis en oeuvre par la carte A pour 

rendre la transaction definitive est done simple. En 
cas d'echec de la transaction le contenu de la zone 
Z1 est porte dans la zone Z3, en cas de succes de la 
transaction le contenu de la zone Z2 est porte dans 

25 la zone Z3. Bien entendu, si la carte est retiree avant 
que le deuxieme message ne lui soit parvenu, il n'y 
aura rien d'enregistre dans la zone Z3 et par conse- 
quent on pourra en deduire que la transaction aura 
echoue. Au besoin on peut confondre la zone Z1 et la 

30 zone Z3 si on veut gagner de la place en memoire. 
Bien entendu une demarche similaire se produit dans 
la carte B ou dans la base de donnees qu'elle est cen- 
se representor. On peut arriver a un meme mecanis- 
me d'autre facon. Par exemple les zones Z1-Z3 sont 

35 accolees a des enregistrements de la memoire MA. 
L'enregistrement de cette memoire qui est valide 
comporte au moins un bit supplemental mo nt rant 
qu'il est actif. La carte B est de preference realisee 
avec une m§me structure. 

40 De preference, la carte A et la carte B com portent 

un microprogramme systematique qui les empechent 
de fonctionnertantque la zone Z3 du dernier enregis- 
trement en memoire MT ou son equivalent n'est pas 
renseigne. De cette facon, une carte Aayant subi un 

45 probleme est neutralisee. Ce microprogramme 
comporte par ailleurs une relance systematique en di- 
rection du lecteur L pour recevoir un message du 
deuxieme type. Ce deuxieme message est, hors cas 
normal d'utilisation, systematiquement un message 

so d'echec de la transaction. II ne peut par exemple etre 
considere comma un message de succes que si son 
dechiffrement le permet. Dans tous les autres cas il 
conduit a devoir rejouer la transaction. 

Sur le plan pratique les operations dans les car- 

55 tes tie I cteur peuvent s'eff ctuer en temps partage 
et apparattre, a une ech II des temps perceptions 
par un operateur, comme s* ffectuant en meme 
temps en t mps reel. 
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A Tissue d la transaction, la carte A t la carte B 
nvoient au lecteur L un troisieme m ssage signalant 
que la transaction a ete parfaite en ce qui les concer- 
ne. 

De preference, le lecteur enregistre dans sa me- 
moire M, a chaque transaction qu'il effectue, un en- 
registrement com porta nt en substance une reference 
Ref de la transaction, Identification A du premier 
partenaire, la carte A, ('identification B du deuxieme 
partenaire, la carte B, le contenu D de la transaction 
(avec le sens de la transaction selon que la carte A a 
ete debitee ou creditee), le contenu dans une zone 
M1 du premier message recu a la fois de la carte Aet 
de la carte B, le contenu dans une zone M2 du deuxie- 
me message envoye a chacun des deux p arte n a ires, 
ainsi que ie contenu dans une zone M3 du troisieme 
message recu de ces deux partenaires a Tissue de la 
transaction. 

Dans un exemple, figure 3, le premier message 
recu dela carte Apeutfitre un message BON, un mes- 
sage ECHEC, ou encore pas de message (ou un mes- 
sage incomprehensible) si la carte a ete debranchee 
avant que la transaction ne s'execute ou encore si la 
carte A est en panne. II en est de meme en ce qui 
concerne la carte B. Le contenu de ces deux messa- 
ges est stocke dans les zones correspondantes M1 
de la memoire M. Le lecteur L el a bo re ensuite un mes- 
sage BON uniquement si les deux premiers messa- 
ges recus sont a BON, ou un message ECHEC dans 
tous les autres cas. Le contenu du deuxieme messa- 
ge BON ou ECHEC est alors envoye a la carte Aet a 
la carte B. Celles-ci, a la reception de ce message, 
continuent a effectuer le reste de la transaction et 
transmettent au lecteur L le resultat de leur action. 

Les figures 4a a 4d montrent des exemples pre- 
fere de messages echanges entre le lecteur Let la ou 
les cartes a puces. U information envoyee par le lec- 
teur L t qui correspond a une demande de preparation 
de la transaction, comporte de preference une refe- 
rence de transaction. Cette reference comportera de 
preference, en clairou chiffre, Tindication du nom du 
premier partenaire A, du deuxieme partenaire B, de 
I'identif ication du lecteur L avec lequel la transaction 
a ete effect uee ainsi que la date a laquelle cette tran- 
saction a ete effectuee ou cf autres informations. Cet- 
te information comporte egalement la valeur de Tin- 
formation a transmettre: D. Elle comporte egalement 
le sens A- B (ou B-A) selon qu'il s'agisse de debitor ou 
de creditor la carte A. 

Le premier message emis par la carte A repren- 
dra t de preference, tout ou partie de cette reference 
ainsi que le resultat de la preparation: BON ou 
ECHEC. Les deuxieme et troisieme messages seront 
constitues de la meme maniere. 

D preference les donne s relatives a la referen- 
c ainsi qu'au resultat d la transaction seront cryp- 
tees par des algorithmes de cryptographic contenus 
dans I s cartes A et/ou B et par ailleurs connus par 



le lecteur L. De tels procedes d cryptographie sont 
notamment utilises dans Tetat d la technique pour 
effectuer la reconnaissance prealable des cartes par 
le lecteur. 

s De preference les contenus de cet envoi etde ces 

messages seront signes. Par exemple, a chaque 
emission ou reception, un compteur d 'emission/re- 
ception, ou d'emission ou de reception, augmente 
son contenu d'une unite et le cryptogramme envoye 

w relatif a la valeur du message tient compte de Tetat 
de ce compteur pour etre parametre. De cette fa con, 
si un message devait etre reitere, il ne sera it jamais 
reitere, d'une fois sur Tautre, de la meme facon. 
Lorsque une transaction a echoue, il est possible 

15 de se retrouver dans une situation telle que dans la 
zone Z3 de la memoire MT de la carte il n'y ait pas 
d'indication. Dans ce cas, le microprogramme de la 
carte Aenvoie une requete a destination du lecteur L 
visant a recevoir, une deuxieme fois, le deuxieme 

20 message de maniere a ce que la zone M3 puisse etre 
renseignee definitivement. On se rend compte avec 
ce systeme qu'il est possible, chaque fois que la zone 
Z3 n'est pas renseignee, de relancer aussi sou vent 
que necessaire une requete a destination du lecteur. 

25 La requeue comportera Tidentif ication de la transac- 
tion par la reference Ref. Lors de la reception de cette 
requete, le lecteur re-emettra le deuxieme message 
qui pourra etre recu et interprets en consequence. II 
est evident que, ne connaissant pas les parametres 

30 de la transaction, un lecteur quelconque L' ne pourra 
qu'emettre un message du deuxieme type faux, qui 
sera alors interprets comme un message d'echec. 

Si la transaction a mettre en oeuvre est une tran- 
saction de type debit-credit, on peut prevoirde valider 

35 d'abord ie debit (de la carte B) avant d'envoyer un 
deuxieme message BON a la carte A a crediter. De 
cette facon on evite de creer de la monnaie. Dans ce 
cas, la base de donnees, carte B, emettra son troisie- 
me message, le lecteur L le recevra puis, seulement 

40 a pres. enverra le deuxieme message a la carte A. 

On observe que le procede de Tinvention permet 
ainsi de realiser les operations en temps d if fere qu'il 
sera necessaire de mettre en place avec la technique 
des cartes a puce a porte-monnaie electronique. En 

45 effet, la base de donnees, qui peut etre contenue 
dans le lecteur L et qui est en fait constitue par les en- 
registrements de la memoire ML, peut servir a mettre 
a jour une base de donnees contenue dans les fi- 
chiers centraux d'une banque. Par exemple, on 

so connecte le lecteur L tous les soirs au f ichier central 
de la banque en question. Le fait par ailleurs de trans- 
mettre la reference relative a la transaction permet 
d'identif ier, en cas de fraude subtile quel est Tinter- 
venant A, B ou L qui se livre systematiquement a des 

55 operations interdites. 

Pour parfair ncore I procede d Tinvention, il 
peut etre prevu de ne r ndre la transaction def initiv 
qu'apres une double verification, de tell facon qu'un 
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quatrieme message doive etre envoye par le I cteur 
L a destination d s cartes A et B. S ul la reception 
par ces cartes A et B de cette deuxieme confirmation 
de I'echange vaudrait transaction parfaite. On rajou- 
terait alors une zone Z4 en memoire MJ pour gerer 
cette situation. 

La puce de la carte A comporte d'une maniere 
preferee un microprocesseur et une memoire en rela- 
tion avec ce microprocesseur. Cette memoire peut 
comporterune memoire a acces aleatoire statique ou 
dynamique servant de memoire de travail et une me- 
moire de type EPROM pour servir de memoire non 
volatile MA - MT, et stacker des programmes execu- 
tables, des donnees de base (code secret, identifica- 
tion, signature), et des donnees resultant de la tran- 
saction. La memoire non volatile peut aussi §tre une 
memoire a acces aleatoire sauvegardee par une pile. 

Pour la gestion de la transaction, on retiendra de 
preference un microprocesseur contenu dans le lec- 
teur. II est ce pendant en visageable de faire supporter 
le contr6le de la transaction par le microprocesseur 
de I'unedes cartes a puce, ou parun microprocesseur 
qui serait dedie a la gestion de la base de donnees. 



Revendications 

1 - Procede de conduite de transaction entre une 
carte (A) a puce, notamment de type porte monnaie 
electron ique, et un systeme d' information, notam- 
ment une base de donnees, mis en relation entre eux 
par I'intermediaire d'un lecteur (L) de carte a puce re- 
lie au systeme, caracterise en ce qu'il comporte les 
eta pes suivantes, une fois que la carte a puce est en 
relation avec le systeme: 

- une action de mise a jour d' information est ef- 
fect uee dans la puce de la carte, 

- et une action de mise a jour d'information 
correspondante est effectuee dans le systeme, 

- la carte a puce et le systeme envoient chacun 
a un organe de gestion de la transaction un 
premier message indiquant que les mises a 
jour correspondantes ont ete effectuees provi- 
soirement par la carte a puce et le systeme, 

- I'organe de gestion de la transaction verif ie la 
coherence d'au moins un de ces premiers mes- 
sages et envoie un deuxieme message a la 
carte a puce et au systeme pour leur indiquer 
que la transaction projetee est equilibree entre 
eux, 

- la puce de la carte a puce n'est autorisee a 
fonctionner que lorsqu'elle a recu et enregistre 
(Z3) le deuxieme message. 

2 - Procede selon la revendication 1 , caracterise 
en ce que 

- lacarte a puce et I e systeme enregistre nt I ca- 
ractere def initif de la transaction et envoient un 
troisieme message a I'organe de gestion pour 



signaler la reception du deuxieme m ssage, 

- la puce de la cart a puce n'est alors autorisee 
a utiliser les informations recues que lorsqu'el- 
le a em is correctement le troisieme message. 

5 3 - Proced6 selon Tune des revendications 1 a 2, 

caracterise en ce que la carte a puce et ou la base de 
donnees enregistrent en memoire non volatile 

- le res u I tat proviso ire (X + D) de Taction de mise 
a jour, 

10 - et une indication (a, b) relative au premier mes- 

sage, 

- et une indication (b) relative au deuxieme mes- 
sage. 

4 - Procede selon Tune des revendications 1 a 3, 
15 caracterise en ce que des actions de mise a jour sont 
entreprises a I'initiative de I'organe de gestion du lec- 
teur ou du systeme ou de la carte a puce qui envoient 
a la carte a puce, au lecteur et au systeme des infor- 
mations relatives a ces actions. 
20 5 - Procede selon Tune des revendications 1 a 4, 

caracterise en ce que le systeme d'information est 
contenu dans une autre carte a puce. 

6 - Procede selon Tune des revendications 1 a 5, 
caracterise en ce que ('information et ou certains des 

25 messages comportent une reference (Ref) de la tran- 
saction. 

7 - Procede selon Tune des revendications 1 a 6, 
caracterise en ce que les echanges entre la carte, le 
lecteur, et ou le systeme sont cryptes et ou signes. 

30 8 - Proced6 selon Tune des revendications 1 a 7, 

caracterise en ce que ie deuxieme message est en- 
voye a un des parte naires a la transaction, et ce par- 
tenaire en avertit I'organe de gestion, avant qu'un 
deuxieme message correspondant ne soit envoye a 

35 I'autre parte n aire. 

9 - Procede selon I'une des revendications 1 a 8, 
caracterise en ce que, a la reception du troisieme 
message, I'organe de gestion de la transaction emet 
un quatrieme message a destination de la carte et ou 

40 du systeme, pour conf irmer le caractere def initif de la 
transaction. 

10. Procede selon I'une des revendications 1 a 9 
caracterise en ce que on fait faire des requetes en re- 
ception du deuxieme message par la carte a puce et 
45 ou le systeme tant que ce deuxieme message n'a pas 
ete valablement recu. 
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